Qualys工程總監(jiān)Ivan Ristic稱對TLS 1.1和1.2版本的支持幾乎不存在。
曾在八月黑帽大會上展示過自己發(fā)現(xiàn)的Ristic發(fā)現(xiàn)了其他證據(jù)證明網(wǎng)站通常會推遲SSL漏洞更新���。他得分析指出有35%的網(wǎng)站不久前才為2009年9月就發(fā)現(xiàn)的TLS漏洞����,而攻擊者可能利用這個漏洞將文本注入兩個SSL端點(diǎn)之間傳輸?shù)募用軘?shù)據(jù)中。
Root 實(shí)驗(yàn)室首席安全顧問Nate Lawson稱��,研究指出升級TLS不是件容易的事情�����,主要是因?yàn)閹缀趺總€修補(bǔ)都會影響到一些廣泛使用的應(yīng)用或技術(shù)���。最近添加到Chrome中的一項(xiàng)技術(shù)就顯著減少了網(wǎng)站與終端用戶間建立加密連接的時間。
Duong和Rizzo認(rèn)為還有更多例子����。
“實(shí)際上,我們從五月初就開始與瀏覽器和SSL供應(yīng)商接觸����,每個推薦的補(bǔ)丁與現(xiàn)有SSL應(yīng)用多不兼容,”Duong寫道���。“阻止人們更新的原因是許多網(wǎng)站和瀏覽器僅支持SSL 3.0和TLS 1.0����。 如果有人將其網(wǎng)站完全升級到1.1或1.2,那就會喪失很多客戶�����。”
